Μια ουκρανική ομάδα κυβερνοεπίθεσης, γνωστή ως Blackjack, εξαπέλυσε μια καταστροφική επίθεση εναντίον ενός παρόχου διαδικτύου με έδρα τη Μόσχα, της M9com, σε αντίποινα για μια πρόσφατη επίθεση στη μεγαλύτερη εταιρεία τηλεπικοινωνιών της Ουκρανίας, την Kyivstar. Η επίθεση, η οποία ξεκίνησε στις 9 Ιανουαρίου 2024, είχε ως αποτέλεσμα τη διαγραφή terabytes δεδομένων από τους διακομιστές της M9com. Οι χάκερ διέκοψαν επίσης τις υπηρεσίες διαδικτύου και τηλεόρασης για πολλούς κατοίκους της Μόσχας.

Η ομάδα Blackjack έχει προειδοποιήσει ότι σχεδιάζει μια μεγαλύτερη επίθεση κατά της Ρωσίας στο εγγύς μέλλον. Η ομάδα κυκλοφόρησε επίσης κλεμμένα δεδομένα από τον διακομιστή αλληλογραφίας και τις βάσεις δεδομένων πελατών της M9com, καθιστώντας τα δημόσια προσβάσιμα μέσω του προγράμματος περιήγησης Tor.

Σύμφωνα με ανώνυμη πηγή από υπηρεσία επιβολής του νόμου, η Blackjack πιστεύεται ότι συνδέεται με την Υπηρεσία Ασφαλείας της Ουκρανίας (SBU). Η πηγή ανέφερε ότι οι επιτιθέμενοι κατάφεραν να αποκτήσουν πρόσβαση στις back-end λειτουργίες της M9com και να διαγράψουν αποτελεσματικά δεδομένα από τους διακομιστές.

Αυτός ο τύπος επίθεσης είναι λιγότερο συνηθισμένος από τις συχνότερα παρατηρούμενες κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών (DDoS), οι οποίες κατακλύζουν ένα σύστημα κατακλύζοντάς το με αυτοματοποιημένα αιτήματα. Οι επιθέσεις DDoS συνήθως προκαλούν την απροσπέλαση μιας υπηρεσίας.

Η επίθεση κατά της M9com είναι η τελευταία ομοβροντία στον συνεχιζόμενο κυβερνοπόλεμο μεταξύ Ουκρανίας και Ρωσίας. Η Ρωσία έχει κατηγορηθεί για την πραγματοποίηση σχεδόν 9.000 επιθέσεων στον κυβερνοχώρο στην Ουκρανία από την έναρξη της εισβολής πλήρους κλίμακας. Οι επιθέσεις αυτές έχουν αποτελέσει σημαντική απειλή για την ασφάλεια και τη σταθερότητα της Ουκρανίας. Η ουκρανική κυβέρνηση καταδίκασε την επίθεση στην M9com και δήλωσε ότι δεν θα ανεχθεί κυβερνοεπιθέσεις κατά των πολιτών ή των υποδομών της. Η κυβέρνηση κάλεσε επίσης τη Ρωσία να σταματήσει τις κυβερνοεπιθέσεις της και να σεβαστεί το διεθνές δίκαιο.

Η επίθεση στην M9com αποτελεί υπενθύμιση της αυξανόμενης απειλής του κυβερνοπολέμου. Καθώς οι χώρες εξαρτώνται όλο και περισσότερο από την τεχνολογία, γίνονται επίσης πιο ευάλωτες σε κυβερνοεπιθέσεις. Είναι σημαντικό για τις κυβερνήσεις και τις επιχειρήσεις να λάβουν μέτρα για την προστασία τους από αυτές τις επιθέσεις.

Τρία νέα κακόβουλα πακέτα έχουν ανακαλυφθεί στο αποθετήριο ανοικτού κώδικα Python Package Index (PyPI) με δυνατότητες ανάπτυξης ενός εξορύκτη (miner) κρυπτονομίσματος σε επηρεαζόμενες συσκευές Linux. Τα τρία επιβλαβή πακέτα, με τα ονόματα modularseven, driftme και catme, προσέλκυσαν συνολικά 431 λήψεις τον τελευταίο μήνα πριν από την απομάκρυνσή τους.

"Αυτά τα πακέτα, κατά την αρχική χρήση, αναπτύσσουν ένα εκτελέσιμο αρχείο CoinMiner σε συσκευές Linux", δήλωσε ο ερευνητής της Fortinet FortiGuard Labs, Gabby Xiong, προσθέτοντας ότι η δραστηριότητα μοιράζεται επικαλύψεις με μια προηγούμενη εκστρατεία που αφορούσε τη χρήση ενός πακέτου που ονομάζεται culturestreak για την ανάπτυξη ενός crypto miner.

Ο κακόβουλος κώδικας βρίσκεται στο αρχείο __init__.py, το οποίο αποκωδικοποιεί και ανακτά το πρώτο στάδιο από έναν απομακρυσμένο διακομιστή, ένα σενάριο κελύφους ("unmi.sh") που ανακτά ένα αρχείο ρυθμίσεων για τη δραστηριότητα εξόρυξης, καθώς και το αρχείο CoinMiner που φιλοξενείται στο GitLab. Στη συνέχεια, το δυαδικό αρχείο ELF εκτελείται στο παρασκήνιο χρησιμοποιώντας την εντολή nohup, εξασφαλίζοντας έτσι ότι η διαδικασία συνεχίζει να εκτελείται ακόμη και μετά την έξοδο από τη συνεδρία.

"Ακολουθώντας την προσέγγιση του προηγούμενου πακέτου 'culturestreak', αυτά τα πακέτα κρύβουν το πραγματικό "φορτίο" τους, μειώνοντας αποτελεσματικά τη δυνατότητα εντοπισμού του κακόβουλου κώδικά τους, φιλοξενώντας τον σε μια απομακρυσμένη διεύθυνση URL", δήλωσε ο Xiong. "Το κακόβουλο πρόγραμμα στη συνέχεια απελευθερώνεται σταδιακά σε διάφορα στάδια για να εκτελέσει τις κακόβουλες δραστηριότητές του". Οι συνδέσεις με το πακέτο culturestreak προκύπτουν επίσης από το γεγονός ότι το αρχείο διαμόρφωσης φιλοξενείται στον τομέα papiculo[.]net και τα εκτελέσιμα αρχεία εξόρυξης νομισμάτων φιλοξενούνται σε ένα δημόσιο αποθετήριο GitLab.

Μια αξιοσημείωτη βελτίωση στα τρία νέα πακέτα είναι η εισαγωγή ενός επιπλέον σταδίου με την απόκρυψη της κακόβουλης πρόθεσής τους στο σενάριο κελύφους, βοηθώντας το έτσι να αποφύγει την ανίχνευση από το λογισμικό ασφαλείας και παρατείνοντας τη διαδικασία εκμετάλλευσης. "Επιπλέον, αυτό το κακόβουλο λογισμικό εισάγει τις κακόβουλες εντολές στο αρχείο ~/.bashrc", δήλωσε ο Xiong. "Αυτή η προσθήκη διασφαλίζει την παραμονή και την επανενεργοποίηση του κακόβουλου λογισμικού στη συσκευή του χρήστη, επεκτείνοντας αποτελεσματικά τη διάρκεια της μυστικής λειτουργίας του. Αυτή η στρατηγική βοηθά στην παρατεταμένη, μυστική εκμετάλλευση της συσκευής του χρήστη προς όφελος του επιτιθέμενου".

Σε μια κίνηση για την ενίσχυση της προστασίας των δεδομένων των χρηστών, η LastPass, ο δημοφιλής διαχειριστής κωδικών πρόσβασης, ανακοίνωσε αυστηρότερες απαιτήσεις για τους κωδικούς πρόσβασης. Η εταιρεία επιβάλλει πλέον σε όλους τους χρήστες να υιοθετήσουν έναν κύριο κωδικό πρόσβασης τουλάχιστον 12 χαρακτήρων, από το πρότυπο των οκτώ χαρακτήρων που συνιστούσε προηγουμένως. Ο νέος κωδικός πρόσβασης πρέπει επίσης να περιλαμβάνει τουλάχιστον έναν ειδικό χαρακτήρα, έναν αριθμό και ένα κεφαλαίο γράμμα.

Αυτό το ενισχυμένο μέτρο ασφαλείας έρχεται μετά από μια σημαντική παραβίαση ασφαλείας το 2022, όταν χάκερ απέκτησαν πρόσβαση σε ευαίσθητα δεδομένα χρηστών μέσω ενός exploit που ανακαλύφθηκε στον υπολογιστή ενός μηχανικού της LastPass. Το περιστατικό έθεσε σε κίνδυνο περισσότερους από 15 εκατομμύρια κωδικούς πρόσβασης, γεγονός που οδήγησε σε ενδελεχή αναθεώρηση των πρωτοκόλλων ασφαλείας της εταιρείας.

Η LastPass αναγνωρίζει το εξελισσόμενο τοπίο των κυβερνοαπειλών και τονίζει ότι οι αλλαγές αυτές αποτελούν προληπτικά βήματα για τη διασφάλιση της ιδιωτικής ζωής των χρηστών. Η εταιρεία έχει εφαρμόσει πρόσθετα μέτρα ασφαλείας, συμπεριλαμβανομένης της αυξημένης επανάληψης PBKDF2 για ενισχυμένη κρυπτογράφηση, για την περαιτέρω προστασία των πληροφοριών των χρηστών.

Παρόλο που η LastPass δεν αναφέρεται ρητά στην ανακοίνωση της στην παραβίαση του 2022, η αυξημένη απαίτηση πολυπλοκότητας του κωδικού πρόσβασης αναμφίβολα απορρέει από τα διδάγματα που αντλήθηκαν από το εν λόγω περιστατικό. Η εταιρεία έχει λάβει μέτρα για την ενίσχυση της ασφάλειας του προσωπικού δικτύου του επηρεαζόμενου μηχανικού και έχει εφαρμόσει ισχυρό έλεγχο ταυτότητας πολλαπλών παραγόντων σε όλα τα συστήματά της.

Υπό το πρίσμα αυτής της ανακοίνωσης, είναι ζωτικής σημασίας για τους χρήστες της LastPass να ενημερώσουν άμεσα τους κύριους κωδικούς πρόσβασης. Με την υιοθέτηση ενός ισχυρού και μοναδικού κύριου κωδικού πρόσβασης, τα άτομα μπορούν να μειώσουν σημαντικά τον κίνδυνο να πέσουν οι προσωπικές τους πληροφορίες σε λάθος χέρια.

Η LastPass παραμένει προσηλωμένη στη διασφάλιση των δεδομένων των χρηστών και έχει επιδείξει προθυμία να προσαρμόζει τα μέτρα ασφαλείας της ως απάντηση στις εξελισσόμενες απειλές. Η εφαρμογή αυστηρότερων απαιτήσεων για τους κωδικούς πρόσβασης και άλλων ενισχυμένων πρωτοκόλλων ασφαλείας υπογραμμίζει την αφοσίωση της εταιρείας στη διατήρηση της εμπιστοσύνης των χρηστών της.

Το κοινοβούλιο της Αλβανίας ανακοίνωσε την Τρίτη ότι υπέστη κυβερνοεπίθεση, διακόπτοντας τις υπηρεσίες του και εγείροντας ανησυχίες σχετικά με τη στάση της χώρας στον τομέα της κυβερνοασφάλειας. Η επίθεση, η οποία σημειώθηκε τη Δευτέρα, πιστεύεται ότι ενορχηστρώθηκε από χάκερς με έδρα το Ιράν, γνωστούς ως Homeland Justice, αν και αυτό δεν έχει επαληθευτεί ακόμα.

Σύμφωνα με αναφορές τοπικών μέσων ενημέρωσης, στόχος των κυβερνοεπιθέσεων ήταν επίσης ένας πάροχος κινητής τηλεφωνίας και μια αεροπορική εταιρεία. Το τελευταίο αυτό περιστατικό ακολουθεί μια μεγάλη κυβερνοεπίθεση σε ιστότοπους της αλβανικής κυβέρνησης τον Ιούλιο του 2022, για την οποία κατηγορήθηκε το ιρανικό υπουργείο Εξωτερικών, το οποίο αρνήθηκε οποιαδήποτε ανάμειξη στις κυβερνοεπιθέσεις και κατηγόρησε την Mujahedeen-e-Khalq (MEK), μια ιρανική ομάδα της αντιπολίτευσης που εδρεύει στην Αλβανία, ότι πραγματοποίησε τις επιθέσεις. Το MEK απέρριψε τους ισχυρισμούς αυτούς.

Οι επανειλημμένες κυβερνοεπιθέσεις στην Αλβανία έχουν επιβαρύνει τις σχέσεις με το Ιράν, με αποτέλεσμα η αλβανική κυβέρνηση να διακόψει τους διπλωματικούς δεσμούς με το Ιράν τον Σεπτέμβριο του 2022. Οι Ηνωμένες Πολιτείες, το ΝΑΤΟ και η Ευρωπαϊκή Ένωση έχουν υποστηρίξει την Αλβανία στη διαμάχη, εκφράζοντας την ανησυχία τους για την επιθετική κυβερνοδραστηριότητα του Ιράν. Ο εκπρόσωπος Τύπου του MEK, Ali Safavi, αρνήθηκε οποιαδήποτε σχέση μεταξύ των κυβερνοεπιθέσεων και της παρουσίας της ομάδας στην Αλβανία. Έχει επίσης επικρίνει τους περιορισμούς της Αλβανίας στις πολιτικές δραστηριότητες των μελών του MEK, δηλώνοντας ότι θα πρέπει να τους επιτραπεί να ασκούν την ελευθερία της έκφρασης και του συνέρχεσθαι.

Οι συνεχιζόμενες κυβερνοεπιθέσεις στην Αλβανία εγείρουν σοβαρά ερωτήματα σχετικά με την ανθεκτικότητα της χώρας στον κυβερνοχώρο και την ικανότητά της να προστατεύει ευαίσθητα δεδομένα από ξένες παρεμβάσεις. Η κυβέρνηση πρέπει να λάβει επειγόντως μέτρα για να ενισχύσει τις άμυνες της στον κυβερνοχώρο και να αποτρέψει περαιτέρω επιθέσεις.

Αποκαλύφθηκε μια νέα επίθεση με την ονομασία Terrapin, η οποία θα μπορούσε δυνητικά να υπονομεύσει την ακεραιότητα και την ασφάλεια των συνδέσεων SSH. Η επίθεση αυτή στοχεύει στο Binary Packet Protocol (BPP), ένα αναπόσπαστο στοιχείο του πρωτοκόλλου SSH που εξασφαλίζει την ακεραιότητα των μηνυμάτων που ανταλλάσσονται κατά τη φάση χειραψίας.

Πώς λειτουργεί το Terrapin

Το Terrapin εκμεταλλεύεται μια ευπάθεια στο μηχανισμό αριθμού ακολουθίας του πρωτοκόλλου SSH, επιτρέποντας σε έναν επιτιθέμενο να χειραγωγήσει τη ροή των μηνυμάτων. Εισάγοντας ή διαγράφοντας συγκεκριμένα μηνύματα, ο επιτιθέμενος μπορεί να υποβαθμίσει αποτελεσματικά την ασφάλεια της σύνδεσης και ενδεχομένως να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο απομακρυσμένο σύστημα.

Δύο μέθοδοι εκμετάλλευσης

Οι ερευνητές που ανακάλυψαν το Terrapin εντόπισαν δύο κύριες μεθόδους εκμετάλλευσης της επίθεσης:

• Υποβάθμιση της επέκτασης: Χειραγωγώντας τους αριθμούς ακολουθίας, ο επιτιθέμενος μπορεί να υποβαθμίσει ορισμένες επεκτάσεις που χρησιμοποιούνται από το OpenSSH και άλλες εφαρμογές SSH για την ασφάλεια των συνδέσεων. Αυτό θα μπορούσε να επιτρέψει στον επιτιθέμενο να απενεργοποιήσει ένα αντίμετρο που αποτρέπει τις επιθέσεις χρονισμού πληκτρολόγησης, οι οποίες μπορούν να χρησιμοποιηθούν για την πρόβλεψη των πληκτρολογούμενων λέξεων με τη μέτρηση του χρονισμού μεταξύ των πληκτρολογήσεων.
• Εκμετάλλευση ευπάθειας AsyncSSH: Το Terrapin μπορεί επίσης να χρησιμοποιηθεί για την εκμετάλλευση ευπαθειών σε μια υλοποίηση SSH που ονομάζεται AsyncSSH, η οποία είναι μια υλοποίηση SSH για την Python. Αξιοποιώντας αυτές τις ευπάθειες, ο επιτιθέμενος θα μπορούσε να αποκτήσει τον έλεγχο του απομακρυσμένου άκρου μιας συνόδου πελάτη SSH, επιτρέποντάς του να εκτελέσει αυθαίρετες εντολές ή να κλέψει ευαίσθητα δεδομένα.

Σαρωτής για ανίχνευση

Οι ερευνητές έχουν αναπτύξει έναν σαρωτή που μπορεί να χρησιμοποιηθεί για να ελέγξει αν ένας πελάτης ή διακομιστής SSH είναι ευάλωτος στο Terrapin. Αυτός ο σαρωτής μπορεί να καθορίσει αν το σύστημα χρησιμοποιεί ευάλωτους τρόπους κρυπτογράφησης και αν υποστηρίζεται το αντίμετρο που απαιτεί αυστηρή ανταλλαγή κλειδιών.

Στρατηγικές μετριασμού

Για να μετριάσουν τον κίνδυνο που ενέχει το Terrapin, οι χρήστες θα πρέπει να λάβουν τα ακόλουθα μέτρα:

Ενημέρωση του λογισμικού SSH: Αναβαθμίστε το λογισμικό SSH στην τελευταία έκδοση, η οποία περιλαμβάνει διόρθωση για το Terrapin.

Αποφύγετε τη χρήση του AsyncSSH: Μέχρι να είναι διαθέσιμη μια διόρθωση για το AsyncSSH, αποφύγετε τη χρήση αυτής της υλοποίησης SSH.

Επαληθεύστε την ευπάθεια της εφαρμογής: Ελέγξτε με τον developer οποιασδήποτε εφαρμογής SSH που χρησιμοποιείτε για να διαπιστώσετε αν είναι ευάλωτη στο Terrapin και αν υπάρχει διαθέσιμη διόρθωση.

Σημασία της επιδιόρθωσης και της επαγρύπνησης

Το Terrapin είναι μια σημαντική ευπάθεια που θα μπορούσε να αξιοποιηθεί για να θέσει σε κίνδυνο την ασφάλεια των συνδέσεων SSH. Οι χρήστες θα πρέπει να λαμβάνουν προληπτικά μέτρα για να μετριάσουν τον κίνδυνο, ενημερώνοντας το λογισμικό τους, αποφεύγοντας τις ευάλωτες εφαρμογές και παραμένοντας ενήμεροι για τις ενημερώσεις ασφαλείας.

Χρήστες της δημοφιλούς σειράς ασύρματων συσκευών UniFi από την Ubiquiti ανακοίνωσαν στα μέσα κοινωνικής δικτύωσης ότι λαμβάνουν ιδιωτικές εικόνες από κάμερες και έχουν έλεγχο σε συσκευές που ανήκουν σε άλλους χρήστες. Η αναφορά στο Reddit περιγράφει περιστατικά όπου οι χρήστες λαμβάνουν ειδοποιήσεις για κινήσεις σε άλλα σπίτια και ακόμη έχουν πρόσβαση και δυνατότητα ελέγχου σε συσκευές που δεν ανήκουν σε αυτούς.

Η Ubiquiti αναγνώρισε το πρόβλημα, αναφέροντας ότι προήλθε από μια αναβάθμιση στην υποδομή του UniFi Cloud, η οποία προκάλεσε εσφαλμένη συσχέτιση λογαριασμών. Κατά τη διάρκεια αυτής της περιόδου, ορισμένοι χρήστες λάμβαναν ειδοποιήσεις για τις κάμερες άλλων χρηστών, ενώ άλλοι είχαν πρόσβαση σε συσκευές που δεν ήταν δικές τους.

Η εταιρεία δήλωσε ότι το πρόβλημα έχει διορθωθεί, και το μπέρδεμα των λογαριασμών δεν συμβαίνει πλέον. Παρά την άμεση αντίδραση της εταιρείας, η εμπειρία αυτή προκαλεί ανησυχία στους χρήστες, καθώς οι συσκευές UniFi παρέχουν πρόσβαση σε ευαίσθητους πόρους όπως κάμερες και μικρόφωνα στο εσωτερικό του σπιτιού.

Η Ubiquiti επισημαίνει ότι παρόλο που το πρόβλημα έχει επιλυθεί, εξακολουθεί να συγκεντρώνει πληροφορίες για μια ακριβή αξιολόγηση του περιστατικού.

Σήμερα το πρωί, η Kyivstar, ο μεγαλύτερος πάροχος κινητής τηλεφωνίας στην Ουκρανία, πλήγηκε από μια ισχυρή κυβερνοεπίθεση, με αποτέλεσμα περίπου 24,3 εκατομμύρια συνδρομητές να χάσουν τις υπηρεσίες τους τηλεφώνου και internet. Οι επιπτώσεις επεκτείνονται και σε επιχειρήσεις, καθώς καταστήματα σε όλη τη χώρα αντιμετωπίζουν προβλήματα επεξεργασίας πληρωμών με πιστωτικές κάρτες.

Στην πόλη της Λβιβ, οι δημόσιες υπηρεσίες όπως ο δημόσιος φωτισμός επηρεάζονται, καθώς ο έλεγχος γίνεται από το δίκτυο της Kyivstar. Η αντιμετώπιση των προβλημάτων απαιτεί ανθρώπινη παρέμβαση, ενώ οι αρχές αναφέρουν προσωρινή ανεπάρκεια στο σύστημα συναγερμού κατά αεροπορικών επιθέσεων στη πόλη Σούμι.

Η Kyivstar ανακοίνωσε στις πρώτες του ώρες το μεγαλεπήβολο χτύπημα, χαρακτηρίζοντάς το ως "μεγάλη κυβερνοεπίθεση." Οι αρχές της Ουκρανίας έχουν ξεκινήσει ποινική έρευνα για την επίθεση, με μία από τις πιθανές υποθέσεις να αναφέρει τις ειδικές υπηρεσίες της Ρωσικής Ομοσπονδίας. Η Kyivstar έχει χαρακτηρίσει το γεγονός ως "πόλεμο," υπογραμμίζοντας πως ο πόλεμος διεξάγεται όχι μόνο στο πεδίο μάχης, αλλά και στον εικονικό χώρο, επισημαίνοντας παράλληλα την ευαισθησία της τηλεπικοινωνιακής υποδομής ως στρατηγικού σημασίας στις σύγχρονες συγκρούσεις.

Σημαντικό είναι ότι, παρά την επίθεση, η Kyivstar διαβεβαιώνει ότι τα προσωπικά δεδομένα των χρηστών δεν κινδύνευσαν. Η κυβερνο-αμυντική ικανότητα της Ουκρανίας, εκφρασμένη μέσω του "Κυβερνο-στρατού" της, την State Service of Special Communications and Information Protection of Ukraine (SSSCIP), φαίνεται να ανταποκρίνεται σε αποτελεσματικό βαθμό, περιορίζοντας τις επιτυχίες των κυβερνοεπιθέσεων της Ρωσίας.

Η κυβερνοεπίθεση στην Kyivstar αναδεικνύει τον συνεχή αγώνα της Ουκρανίας στον εικονικό χώρο, καθώς η Ρωσία συνεχίζει να χρησιμοποιεί τις κυβερνο-δυνατότητές της ως συμπληρωματικό μέσο υποστήριξης της εισβολής της.

Ένα νέο σύνολο ευπαθειών σε μόντεμ 5G των Qualcomm και MediaTek, που ονομάζονται συλλογικά "5Ghoul", επηρεάζουν 710 μοντέλα smartphone 5G από συνεργάτες της Google (Android) και της Apple, router και μόντεμ USB. Το 5Ghoul ανακαλύφθηκε από πανεπιστημιακούς ερευνητές από τη Σιγκαπούρη και αποτελείται από 14 ευπάθειες σε συστήματα κινητών επικοινωνιών, 10 από τις οποίες έχουν αποκαλυφθεί δημοσίως και τέσσερις αποκρύπτονται για λόγους ασφαλείας. Οι επιθέσεις του 5Ghoul κυμαίνονται από προσωρινές διακοπές των υπηρεσιών έως υποβαθμίσεις του δικτύου, οι οποίες μπορεί να είναι πιο σοβαρές από άποψη ασφάλειας. Οι ερευνητές ανακάλυψαν τις αδυναμίες ενώ πειραματίζονταν με την ανάλυση firmware από μόντεμ 5G και αναφέρουν ότι οι αδυναμίες είναι εύκολο να αξιοποιηθούν over-the-air, υποδυόμενοι έναν νόμιμο σταθμό βάσης 5G.

Αυτό ισχύει ακόμη και όταν οι επιτιθέμενοι δεν διαθέτουν πληροφορίες σχετικά με την κάρτα SIM του στόχου, καθώς η επίθεση πραγματοποιείται πριν από το βήμα ελέγχου ταυτότητας NAS.

"Ο επιτιθέμενος χρειάζεται μόνο να υποδυθεί το νόμιμο gNB χρησιμοποιώντας τις γνωστές παραμέτρους σύνδεσης του Πύργου Κυψέλης (π.χ. SSB ARFCN, Κωδικός περιοχής παρακολούθησης, Φυσικό αναγνωριστικό κυψέλης, Συχνότητα σημείου Α)".

Τα παραπάνω είναι εφικτά με κόστος μερικών χιλιάδων δολαρίων ΗΠΑ, χρησιμοποιώντας λογισμικό ανοικτού κώδικα για ανάλυση δικτύων και fuzzing, ένα μίνι PC, ένα software defined radio (SDR) και διάφορα είδη εξοπλισμού, όπως καλώδια, κεραίες, τροφοδοτικά κ.λπ.

Λεπτομέρειες για την ευπάθεια 5Ghoul

Οι δέκα ευπάθειες του 5Ghoul που έχουν αποκαλυφθεί δημοσίως στην Qualcomm και τη MediaTek από τις 7 Δεκεμβρίου 2023, είναι οι εξής:

1. CVE-2023-33043: Άκυρο MAC/RLC PDU που προκαλεί άρνηση παροχής υπηρεσιών (DoS) στα μόντεμ Qualcomm X55/X60. Οι επιτιθέμενοι μπορούν να στείλουν ένα άκυρο πλαίσιο MAC downlink στο 5G UE-στόχο από ένα κοντινό κακόβουλο gNB, οδηγώντας σε προσωρινή παύση λειτουργίας και επανεκκίνηση του μόντεμ.
2. CVE-2023-33044: Άγνωστο PDU NAS που προκαλεί DoS σε μόντεμ Qualcomm X55/X60. Αυτή η ευπάθεια επιτρέπει στους επιτιθέμενους να στείλουν ένα άκυρο NAS PDU στον UE-στόχο, με αποτέλεσμα την αποτυχία του μόντεμ και την επανεκκίνηση.
3. CVE-2023-33042: Απενεργοποίηση 5G/Downgrade μέσω Invalid RRC pdcch-Config σε Qualcomm X55/X60 modems, που οδηγεί είτε σε downgrade είτε σε άρνηση υπηρεσίας. Ένας εισβολέας μπορεί να στείλει ένα malformed πλαίσιο RRC κατά τη διάρκεια της διαδικασίας RRC Attach, απενεργοποιώντας τη συνδεσιμότητα 5G και απαιτώντας χειροκίνητη επανεκκίνηση για την αποκατάσταση.
4. CVE-2023-32842: Μη έγκυρο RRC Setup spCellConfig που προκαλεί DoS σε μόντεμ της MediaTek Dimensity 900/1200. Η ευπάθεια αφορά την αποστολή malformed RRC Connection Setup, οδηγώντας σε αποτυχία του μόντεμ και επανεκκίνηση στις επηρεαζόμενες συσκευές.
5. CVE-2023-32844: Το άκυρο RRC pucch CSIReportConfig προκαλεί DoS σε μόντεμ MediaTek Dimensity 900/1200. Οι επιτιθέμενοι μπορούν να στείλουν ένα malformed RRC Connection Setup, προκαλώντας αποτυχία και επανεκκίνηση του μόντεμ.
6. CVE-2023-20702: Άκυρη ακολουθία δεδομένων RLC που προκαλεί DoS (null pointer dereference) στα μόντεμ MediaTek Dimensity 900/1200. Ένας εισβολέας μπορεί να το εκμεταλλευτεί αυτό στέλνοντας ένα malformed  RLC Status PDU, οδηγώντας σε κατάρρευση και επανεκκίνηση του μόντεμ.
7. CVE-2023-32846: Το περικομμένο RRC physicalCellGroupConfig προκαλεί DoS (null pointer dereference) στα μόντεμ MediaTek Dimensity 900/1200. Malformed RRC Connection Setup μπορεί να προκαλέσει σφάλματα πρόσβασης στη μνήμη, οδηγώντας σε κατάρρευση του μόντεμ.
8. CVE-2023-32841: Μη έγκυρο RRC searchSpacesToAddModList που προκαλεί DoS στα μόντεμ MediaTek Dimensity 900/1200. Πρόκειται για την αποστολή ενός malformed RRC Connection Setup, που προκαλεί κατάρρευση του μόντεμ στις επηρεαζόμενες συσκευές.
9. CVE-2023-32843: Μη έγκυρο στοιχείο RRC Uplink Config Element που προκαλεί DoS σε μόντεμ MediaTek Dimensity 900/1200. Η αποστολή ενός malformed RRC Connection Setup μπορεί να προκαλέσει βλάβη του μόντεμ και επανεκκίνηση στις επηρεαζόμενες συσκευές.
10. CVE-2023-32845: Null RRC Uplink Config Element που προκαλεί DoS σε μόντεμ MediaTek Dimensity 900/1200. Η malformed εγκατάσταση σύνδεσης RRC μπορεί να προκαλέσει κατάρρευση του μόντεμ θέτοντας ορισμένα πεδία ωφέλιμου φορτίου RRC σε null.

Το CVE-2023-33042 είναι ιδιαίτερα ανησυχητικό επειδή μπορεί να αναγκάσει μια συσκευή να αποσυνδεθεί από ένα δίκτυο 5G και να επιστρέψει στο 4G, εκθέτοντάς την σε πιθανές ευπάθειες στον τομέα 4G που την εκθέτουν σε ένα ευρύτερο φάσμα επιθέσεων.

Τα ελαττώματα DoS σε αυτές τις ευπάθειες προκαλούν τη διακοπή κάθε συνδεσιμότητας των συσκευών μέχρι την επανεκκίνησή τους. Αυτό δεν είναι τόσο κρίσιμο, αν και μπορεί να έχει ακόμα σημαντικές επιπτώσεις σε κρίσιμα για την αποστολή περιβάλλοντα που βασίζονται στην υπηρεσία κινητής τηλεφωνίας.

Είναι σημαντικό να σημειωθεί ότι τα αποκαλυπτόμενα ελαττώματα δεν περιορίζονται στις συσκευές που αναφέρονται στην παραπάνω λίστα. Ο εντοπισμός όλων των επηρεαζόμενων μοντέλων βρίσκεται σε εξέλιξη, αλλά οι ερευνητές έχουν ήδη επιβεβαιώσει ότι επηρεάζονται 714 smartphones από 24 μάρκες. Ορισμένες ευάλωτες μάρκες περιλαμβάνουν τηλέφωνα από τις εταιρείες POCO, Black, Lenovo, AGM, Google, TCL, Redmi, HTC, Microsoft και Gigaset, με την πλήρη λίστα στην παρακάτω εικόνα.

Για να μάθετε περισσότερα σχετικά με τα ελαττώματα 5Ghoul, τις δυνατότητες εκμετάλλευσης και τις επιπτώσεις τους, καθώς και τεχνικές πληροφορίες μπορείτε να βρείτε στο whitepaper των ερευνητών.

Ένα κιτ αξιοποίησης του Proof of Concept (PoC) μπορεί επίσης να βρεθεί στο αποθετήριο GitHub.

Ανταπόκριση και διορθώσεις του προμηθευτή

Τόσο η Qualcomm όσο και η MediaTek κυκλοφόρησαν τη Δευτέρα δελτία ασφαλείας για τις αποκαλυπτόμενες ευπάθειες 5Ghoul, 

Οι ενημερώσεις ασφαλείας τέθηκαν στη διάθεση των πωλητών συσκευών πριν από δύο μήνες. Παρόλα αυτά, δεδομένης της πολυπλοκότητας της προμήθειας λογισμικού, ειδικά στο Android, θα περάσει αρκετός καιρός μέχρι οι διορθώσεις να φτάσουν στους τελικούς χρήστες μέσω ενημερώσεων ασφαλείας.

Αναπόφευκτα, ορισμένα επηρεαζόμενα μοντέλα smartphone και άλλες συσκευές δεν θα λάβουν ποτέ τις διορθώσεις, καθώς πιθανότατα θα φτάσουν πρώτα στο τέλος της υποστήριξης.

Αν ανησυχείτε υπερβολικά για τα ελαττώματα του 5Ghool, η μόνη πρακτική λύση είναι να αποφύγετε εντελώς τη χρήση του 5G μέχρι να είναι διαθέσιμες οι διορθώσεις.

Τα σημάδια μιας επίθεσης 5Ghool περιλαμβάνουν την απώλεια συνδέσεων 5G, την αδυναμία επανασύνδεσης μέχρι την επανεκκίνηση της συσκευής και τη συνεχή πτώση σε 4G παρά τη διαθεσιμότητα δικτύου 5G στην περιοχή.

Σύμφωνα με έρευνα που παρουσιάστηκε στο Black Hat Europe από ερευνητές του πανεπιστημίου IIIT Hyderabad, διάφορες δημοφιλείς εφαρμογές διαχείρισης κωδικών πρόσβασης για κινητά αντιμετωπίζουν ένα πρόβλημα ασφαλείας που ονομάζεται "AutoSpill". Η ευπάθεια αφορά τη λειτουργία αυτόματης συμπλήρωσης στις εφαρμογές Android και μπορεί να εκθέσει τα διαπιστευτήρια των χρηστών αφού παρακάμπτει το ασφαλές μηχανισμό αυτόματης συμπλήρωσης του Android.

Οι ερευνητές ανέφεραν ότι όταν μια εφαρμογή Android φορτώνει μια σελίδα σύνδεσης στο WebView, οι διαχειριστές κωδικών πρόσβασης μπορεί να "χαθούν" σχετικά με το πού πρέπει να στοχεύσουν τις πληροφορίες σύνδεσης του χρήστη και, αντί αυτού, να εκθέσουν τα διαπιστευτήριά τους στα φυσικά πεδία της βασικής εφαρμογής. Αυτό συμβαίνει όταν η αυτόματη συμπλήρωση ενεργοποιείται εντός του WebView, του προεγκατεστημένου κινητού κινητού περιηγητή από τη Google.

Οι ερευνητές ελέγχοντας την ευπάθεια στις δημοφιλέστερες εφαρμογές διαχείρισης κωδικών πρόσβασης, όπως το 1Password, το LastPass, το Keeper και το Enpass, σε νέες και ενημερωμένες συσκευές Android, διαπίστωσαν ότι οι περισσότερες εφαρμογές ήταν ευπαθείς στη διαρροή διαπιστευτηρίων. Ενημερώθηκαν οι εταιρείες, συμπεριλαμβανομένης της Google και των εμπλεκομένων διαχειριστών κωδικών πρόσβασης.

Οι ερευνητές εξετάζουν επίσης το ενδεχόμενο της εξόρυξης διαπιστευτηρίων από την εφαρμογή προς το WebView, ενώ διερευνούν αν η ευπάθεια μπορεί να αντιγραφεί στο iOS. Εταιρίες όπως η 1Password αναφέρουν ότι εργάζονται σε διορθώσεις για το πρόβλημα, ενώ άλλες όπως η Keeper αντιδρούν στις κατηγορίες και υποστηρίζουν ότι έχουν μέτρα προστασίας για τους χρήστες τους.

Η Check Point Research ανακάλυψε και ανέλυσε πρόσφατα ένα νέο "σκουλήκι" με δυνατότητες εξάπλωσης μέσω USB, ένα φαινομενικά "απλούστερο" κακόβουλο λογισμικό που δημιουργήθηκε από την Gamaredon, μια γνωστή ομάδα που συνεργάζεται με τη Ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB). Γνωστό επίσης ως Primitive Bear, ACTINIUM και Shuckworm, το Gamareddon είναι ένας ασυνήθιστος παίκτης στο οικοσύστημα της ρωσικής κατασκοπείας, που στοχεύει σχεδόν αποκλειστικά στην παραβίαση στόχων στην Ουκρανία. Η Check Point δήλωσε ότι ενώ άλλες ρωσικές ομάδες κυβερνοκατασκοπείας προτιμούν να κρύβουν την παρουσία τους όσο το δυνατόν περισσότερο, η Gamaredon είναι γνωστή για τις εκστρατείες μεγάλης κλίμακας, ενώ εξακολουθεί να εστιάζει σε περιφερειακούς στόχους.

Το σκουλίκι LitterDrifter, ανακαλύφθηκε πρόσφατα και φαίνεται να τηρεί τη συνήθη συμπεριφορά της Gamaredon, καθώς πιθανότατα έχει ξεπεράσει κατά πολύ τους αρχικούς του στόχους. Το LitterDrifter είναι γραμμένο σε VBScript (VBS) με δύο κύριες λειτουργίες: την "αυτόματη" εξάπλωση μέσω USB flash drives και την ακρόαση απομακρυσμένων εντολών που προέρχονται από τους διακομιστές command&control (C2) των δημιουργών του. Το κακόβουλο λογισμικό φαίνεται να αποτελεί εξέλιξη των προηγούμενων προσπαθειών του Gamaredon με τη διάδοση μέσω USB, εξήγησαν οι ερευνητές της Check Point.

Το LitterDrifter χρησιμοποιεί δύο ξεχωριστές ενότητες για να επιτύχει τους στόχους του, οι οποίες εκτελούνται από ένα "έντονα συγκεκαλυμμένο" παράγοντα VBS που βρίσκεται στη βιβλιοθήκη trash.dll. Το σκουλήκι προσπαθεί να εγκατασταθεί στα συστήματα Windows προσθέτοντας νέες προγραμματισμένες εργασίες και κλειδιά μητρώου, εκμεταλλευόμενο το πλαίσιο Windows Management Instrumentation (WMI) για τον εντοπισμό στόχων USB και τη δημιουργία συντομεύσεων με τυχαία ονόματα.

Το σκουλήκι προσπαθεί να μολύνει έναν στόχο USB μόλις η μονάδα flash συνδεθεί στο σύστημα. Μετά τη μόλυνση, το LitterDrifter προσπαθεί να επικοινωνήσει με έναν διακομιστή C2 που κρύβεται πίσω από ένα δίκτυο δυναμικών διευθύνσεων IP, οι οποίες συνήθως διαρκούν έως και 28 ώρες. Μόλις δημιουργηθεί μια σύνδεση, το LitterDrifter μπορεί να κατεβάσει πρόσθετα ωφέλιμα φορτία, να τα αποκωδικοποιήσει και τελικά να τα εκτελέσει σε ένα μολυσμένο σύστημα.

Η Check Point Research δήλωσε ότι δεν ανακτήθηκαν περαιτέρω ωφέλιμα φορτία κατά τη διάρκεια της εργασίας ανάλυσης, γεγονός που σημαίνει ότι το LitterDrifter είναι πιθανότατα το πρώτο στάδιο μιας πιο σύνθετης, συνεχιζόμενης επίθεσης. Η πλειονότητα των μολύνσεων του LitterDrifter ανακαλύφθηκε στην Ουκρανία, αλλά το σκουλήκι εντοπίστηκε επίσης σε υπολογιστές που βρίσκονται στις ΗΠΑ, τη Γερμανία, το Βιετνάμ, τη Χιλή, την Πολωνία. Η Gamaredon έχει πιθανότατα χάσει τον έλεγχο του σκουληκιού της, το οποίο τελικά εξαπλώθηκε σε ακούσιους στόχους πριν αναπτυχθεί η πλήρης επίθεση.

Ο έλεγχος ταυτότητας δακτυλικού αποτυπώματος Windows Hello της Microsoft έχει παρακαμφθεί σε φορητούς υπολογιστές της Dell, της Lenovo και ακόμη και της Microsoft. Οι ερευνητές ασφαλείας της Blackwing Intelligence ανακάλυψαν πολλαπλές ευπάθειες στους τρεις κορυφαίους αισθητήρες δακτυλικών αποτυπωμάτων που είναι ενσωματωμένοι σε φορητούς υπολογιστές και χρησιμοποιούνται ευρέως από τις επιχειρήσεις για την ασφάλεια των φορητών υπολογιστών με τον έλεγχο ταυτότητας δακτυλικών αποτυπωμάτων Windows Hello.

Η Offensive Research and Security Engineering (MORSE) της Microsoft ζήτησε από την Blackwing Intelligence να αξιολογήσει την ασφάλεια των αισθητήρων δακτυλικών αποτυπωμάτων και οι ερευνητές παρέθεσαν τα ευρήματά τους σε μια παρουσίαση στο συνέδριο BlueHat της Microsoft τον Οκτώβριο. Η ομάδα εντόπισε δημοφιλείς αισθητήρες δακτυλικών αποτυπωμάτων από τις Goodix, Synaptics και ELAN ως στόχους για την έρευνά της, ενώ σε μια πρόσφατα δημοσιευμένη ανάρτηση στο blog περιγράφεται λεπτομερώς η λεπτομερής διαδικασία κατασκευής μιας συσκευής USB που μπορεί να εκτελέσει επίθεση man-in-the-middle (MitM). Μια τέτοια επίθεση θα μπορούσε να παρέχει πρόσβαση σε έναν κλεμμένο φορητό υπολογιστή, ή ακόμη και μια επίθεση "evil maid" σε μια αφύλακτη συσκευή.

Ένα Dell Inspiron 15, ένα Lenovo ThinkPad T14 και ένα Microsoft Surface Pro X έπεσαν όλα θύματα επιθέσεων με αναγνώστη δακτυλικών αποτυπωμάτων, επιτρέποντας στους ερευνητές να παρακάμψουν την προστασία του Windows Hello, εφόσον κάποιος χρησιμοποιούσε προηγουμένως έλεγχο ταυτότητας δακτυλικών αποτυπωμάτων σε μια συσκευή. Οι ερευνητές της Blackwing Intelligence πραγματοποίησαν αντίστροφη μηχανική τόσο στο λογισμικό όσο και στο υλικό και ανακάλυψαν σφάλματα κρυπτογραφικής υλοποίησης σε ένα προσαρμοσμένο TLS στον αισθητήρα Synaptics. Η περίπλοκη διαδικασία για την παράκαμψη του Windows Hello περιελάμβανε επίσης αποκωδικοποίηση και εκ νέου υλοποίηση ιδιόκτητων πρωτοκόλλων.

Οι αισθητήρες δακτυλικών αποτυπωμάτων χρησιμοποιούνται πλέον ευρέως από τους χρήστες φορητών υπολογιστών με Windows, χάρη στην ώθηση της Microsoft προς το Windows Hello και ένα μέλλον χωρίς κωδικό πρόσβασης. Η Microsoft αποκάλυψε πριν από τρία χρόνια ότι σχεδόν το 85 τοις εκατό των καταναλωτών χρησιμοποιούν το Windows Hello για να συνδεθούν σε συσκευές Windows 10 αντί να χρησιμοποιούν κωδικό πρόσβασης (η Microsoft όμως υπολογίζει ένα απλό PIN ως χρήση του Windows Hello).

Αυτή δεν είναι η πρώτη φορά που ο βιομετρικός έλεγχος ταυτότητας που βασίζεται στα Windows Hello έχει σπάσει. Η Microsoft αναγκάστηκε να διορθώσει μια ευπάθεια παράκαμψης του ελέγχου ταυτότητας του Windows Hello το 2021, μετά από μια μέθοδο η οποία περιελάμβανε τη λήψη μιας υπέρυθρης εικόνας ενός θύματος για την παραποίηση της λειτουργίας αναγνώρισης προσώπου του Windows Hello.

Ωστόσο, δεν είναι σαφές αν η Microsoft θα μπορέσει να διορθώσει μόνη της αυτές τις τελευταίες ατέλειες. "Η Microsoft έκανε καλή δουλειά σχεδιάζοντας το Secure Device Connection Protocol (SDCP) για να παρέχει ένα ασφαλές κανάλι μεταξύ του κεντρικού υπολογιστή και των βιομετρικών συσκευών, αλλά δυστυχώς οι κατασκευαστές συσκευών φαίνεται να παρερμηνεύουν ορισμένους από τους στόχους", γράφουν οι Jesse D'Aguanno και Timo Teräs, ερευνητές της Blackwing Intelligence, στην εμπεριστατωμένη έκθεσή τους σχετικά με τα ελαττώματα. "Επιπλέον, το SDCP καλύπτει μόνο ένα πολύ στενό πεδίο λειτουργίας μιας τυπικής συσκευής, ενώ οι περισσότερες συσκευές έχουν εκτεθειμένη μια σημαντική επιφάνεια επίθεσης που δεν καλύπτεται καθόλου από το SDCP".

Οι ερευνητές διαπίστωσαν ότι η προστασία SDCP της Microsoft δεν ήταν ενεργοποιημένη σε δύο από τις τρεις συσκευές που έβαλαν στο στόχαστρο. Η Blackwing Intelligence συνιστά τώρα στους κατασκευαστές ΟΕΜ να βεβαιώνονται ότι το SDCP είναι ενεργοποιημένο και να διασφαλίζουν ότι η εφαρμογή του αισθητήρα δακτυλικών αποτυπωμάτων ελέγχεται από εξειδικευμένο εμπειρογνώμονα. Η Blackwing Intelligence διερευνά επίσης επιθέσεις διαφθοράς μνήμης στο firmware του αισθητήρα και ακόμη και την ασφάλεια του αισθητήρα δακτυλικών αποτυπωμάτων σε συσκευές Linux, Android και Apple.

Ένα νέο ισχυρό κακόβουλο λογισμικό που κυκλοφόρησε στις αρχές του 2023 με την ονομασία Atomic macOS Stealer (AMOS) στοχεύει τους χρήστες της Apple και έχει γίνει μια αυξανόμενη απειλή. Τώρα, στη τελευταία έκδοση του κακόβουλου λογισμικού, αυτό εγκαθίσταται μέσα σε ψεύτικες ενημερώσεις των προγραμμάτων περιήγησης Safari και Chrome για Mac. 

Το AMOS είναι ένα ισχυρό κακόβουλο λογισμικό που, μόλις εγκατασταθεί στο μηχάνημα ενός θύματος, μπορεί να κλέψει κωδικούς πρόσβασης iCloud Keychain, αριθμούς πιστωτικών καρτών, πορτοφόλια κρυπτονομισμάτων, αρχεία και πολλά άλλα. Μετά την ανακάλυψη των πρώτων απειλών του AMOS τον Μάρτιο και τον Απρίλιο, οι ερευνητές ασφαλείας της Malwarebytes ανακάλυψαν τον Σεπτέμβριο ότι οι χρήστες Mac εγκαθιστούσαν το AMOS μέσω ψεύτικων διαφημίσεων αναζήτησης Google. Στο τελευταίο κεφάλαιο του επιβλαβούς λογισμικού, η Malwarebytes αναφέρει ότι ψεύτικες ενημερώσεις των προγραμμάτων περιήγησης Safari και Chrome χρησιμοποιούνται τώρα για να περάσει κρυφά το AMOS στους Mac των θυμάτων (μέσω του Ankit Anubhav).

Η νέα προσέγγιση με το AMOS ονομάζεται "ClearFake", η οποία ήταν μια αξιοσημείωτη επίθεση που είχε παρατηρηθεί προηγουμένως εναντίον μηχανημάτων Windows.

Η προσέγγιση λειτουργεί με τη χρήση απειλητικών παραγόντων που χρησιμοποιούν παραβιασμένους ιστότοπους για να παραδώσουν ψεύτικες ενημερώσεις Safari και Chrome. Εδώ είναι η ψεύτικη ενημέρωση του Safari - η οποία είναι εύκολο να εντοπιστεί από τους βετεράνους της Apple με τα σούπερ παλιά εικονίδια Safari και iCloud - αλλά φυσικά, πολλοί άνθρωποι μπορεί να ξεγελαστούν καθώς χρησιμοποιεί την κανονική γλώσσα ενημέρωσης της Apple:

Και εδώ είναι η ψεύτικη ενημέρωση του Chrome που είναι πιο πειστική:

Για μια πιο προσεκτική ματιά στο πώς λειτουργεί η παράδοση του AMOS από το ClearFake, δείτε την πλήρη δημοσίευση από τη Malwarebytes. Αν θέλετε να κάνετε έναν έλεγχο στο Mac σας για να βεβαιωθείτε ότι δεν υπάρχει κακόβουλο λογισμικό ή adware, το Malwarebytes προσφέρει μια δωρεάν εφαρμογή (για ιδιώτες) για την εύρεση και την αφαίρεσή του. Η Malwarebytes προσφέρει επίσης το Browser Guard για Chrome, Firefox και Edge χωρίς κόστος για προσωπική χρήση.